Partager via

Tutoriel : Configurer une stratégie de rétention des données pour une table dans un espace de travail Log Analytics

  • Article

Dans ce tutoriel, vous allez définir une stratégie de rétention pour une table dans votre espace de travail Log Analytics que vous utilisez pour Microsoft Sentinel ou Azure Monitor. Ces étapes vous permettent de conserver à moindre coût des données plus anciennes et moins utilisées dans votre espace de travail.

Les stratégies de rétention d’un espace de travail Log Analytics définissent quand passer des anciens enregistrements dans les tables de données de l’espace de travail à l’état de conservation à long terme (anciennement appelée archive) à faible coût et à accès minimal. Par défaut, toutes les tables de votre espace de travail héritent du paramètre de la rétention interactive et n’ont aucune stratégie de rétention à long terme (archive). Vous pouvez modifier des stratégies de rétention interactive et à long terme des tables individuelles, à l’exception des espaces de travail du niveau tarifaire hérité de l’essai gratuit.

Dans ce tutoriel, vous allez apprendre à :

  • Définir la stratégie de rétention pour une table
  • Évaluer les stratégies de rétention interactive et à long terme

Prérequis

Pour suivre les étapes décrites dans ce didacticiel, vous devez disposer des ressources et rôles suivants.

  • Compte Azure avec un abonnement actif. Créez un compte gratuitement.

  • Compte Azure avec les rôles suivants :

    Rôle intégré Étendue Motif
    Contributeur Log Analytics N'importe quelle valeur avec
    • Abonnement
    • Resource group
    • Table
    		 Pour définir la stratégie de rétention sur les tables dans Log Analytics

  • Espace de travail Log Analytics.

Définir la stratégie de rétention pour une table

Dans votre espace de travail Log Analytics, modifiez la stratégie de rétention interactive de la table SecurityEvent de l’espace de travail par défaut de 90 jours à 180 jours et la stratégie de rétention totale à 3 ans. La période de rétention totale est une somme des périodes de rétention interactive et à long terme (archive).

  1. Connectez-vous au portail Azure.

  2. Dans le portail Azure, recherchez et ouvrez Espaces de travail Log Analytics.

  3. Sélectionnez l’espace de travail approprié.

  4. Sous Paramètres, sélectionnez Tables.

  5. Recherchez la table SecurityEvent dans la liste et ouvrez le menu contextuel (...).

  6. Sélectionnez Gérer la table.

    Capture d’écran de l’option Gérer la table dans le menu contextuel pour une table dans la vue tables.

  7. Sous Paramètres de conservation des données, entrez les valeurs suivantes.

    Champ Valeur
    Conservation interactive 180 jours
    Période de rétention totale 3 ans

    Capture d’écran des paramètres de conservation des données qui montre les modifications apportées aux champs sous la section Conservation des données.

    Vérifiez que le graphique de temps indique que la période de conservation à long terme est égale à la période de rétention totale en jours moins la période de rétention interactive en jours. Dans ce cas, 915 jours ou 2,5 ans.

  8. Cliquez sur Enregistrer.

Évaluer les stratégies de rétention interactive et totales

Dans la page Tables de la table mise à jour, passez en revue les valeurs des champs pour la Rétention interactive et la Rétention totale.

Capture d’écran de la vue de table qui montre les colonnes interactives de conservation et de période d’archivage.

Nettoyer les ressources

Aucune ressource n’a été créée, mais vous pouvez restaurer les paramètres de conservation des données que vous avez modifiés.

Étapes suivantes

Configurer des stratégies de conservation des données interactive et à long terme dans les journaux Azure Monitor